Badacze z firmy Koi Security ujawnili jedną z największych kampanii cyberprzestępczych w historii przeglądarek internetowych. Kampania o nazwie RedDirection zainfekowała miliony użytkowników przeglądarek Chrome i Edge poprzez kilkanaście pozornie bezpiecznych rozszerzeń, które zostały przekształcone w narzędzia szpiegowskie.
Sprawca kampanii ukrywał się pod maską użyteczności
Odkrycie rozpoczęło się od analizy pojedynczego rozszerzenia – Geco Color Picker, popularnego selektora kolorów wykorzystywanego przez tysiące osób. Narzędzie to posiadało setki pozytywnych recenzji w Chrome Web Store oraz wysoką ocenę. Co więcej, było oznaczone jako „polecane” przez Google, co dodatkowo uśpiło czujność użytkowników.
Jak wyjaśnia analityk Koi Security Idan Dardikman: „To nie jest jakieś oczywiste oszustwo przygotowane w weekend. To starannie skonstruowany koń trojański, który oferuje dokładnie to, co obiecuje (funkcjonalny selektor kolorów), jednocześnie przejmując kontrolę nad przeglądarką”.
Szerokie spektrum fałszywych narzędzi
Śledztwo ujawniło łącznie kilkanaście złośliwych rozszerzeń dostępnych w sklepach Chrome i Edge, które podszywały się pod aplikacje do codziennych zadań. Wśród nich znalazły się:
- klawiatury emoji
- prognozy pogody
- przyspieszacze filmów
- VPN-y do Discorda i TikToka
- ciemne motywy
- wzmacniacze dźwięku
- odblokowywacze YouTube’a w miejscach pracy i szkołach
Wszystkie te rozszerzenia pełniły swoje podstawowe funkcje, ale jednocześnie rejestrowały każdy krok użytkownika w sieci. Monitorowały odwiedzane adresy URL, przypisywały indywidualne identyfikatory i przesyłały te dane na serwery kontrolowane przez cyberprzestępców.
Podstępna strategia „cichych aktualizacji”
Szczególnie niepokojący jest fakt, że złośliwy kod wcale nie był obecny od samego początku. Według specjalistów z Koi Security, twórcy najpierw publikowali w pełni nieszkodliwe wersje rozszerzeń, które nie wzbudzały żadnych podejrzeń. Czasami funkcjonowały tak nawet przez lata.
Dopiero późniejsze aktualizacje – automatycznie instalowane w przeglądarkach przez systemy Google i Microsoft – wprowadzały moduły szpiegujące. „Większość użytkowników nigdy niczego nie kliknęła ani nie zainicjowała tej zmiany. Wszystko działo się w tle w ramach cichych aktualizacji” – podkreśla Idan Dardikman.
Mechanizm działania malware’u
Złośliwy kod aktywował się przy każdej wizycie na nowej stronie internetowej. Rozszerzenia:
- przechwytywały URL-e odwiedzanych stron,
- wysyłały je na zdalne serwery wraz z unikalnym identyfikatorem użytkownika,
- otrzymywały potencjalne URL-e przekierowań z serwera kontroli,
- automatycznie przekierowywały przeglądarkę na polecenie atakujących.
Każde rozszerzenie operowało z własną subdomeną kontrolną, co stwarzało pozory odrębnych operatorów, choć w rzeczywistości były częścią tej samej scentralizowanej infrastruktury ataku.
Pełna lista zainfekowanych rozszerzeń
Chrome:
- Color Picker, Eyedropper — Geco colorpick
- Emoji keyboard online — copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
Edge:
- Unlock TikTok
- Unlock Discord
- Volume Booster — Increase your sound
- Youtube Unblocked
- Web Sound Equalizer
- Flash Player — games emulator
- SearchGPT — ChatGPT for Search Engine
- Header Value
Jak się zabezpieczyć?
Eksperci radzą natychmiastowe działania dla wszystkich, którzy posiadali któreś z podejrzanych rozszerzeń:
- Natychmiastowe usunięcie wszystkich wymienionych rozszerzeń
- Wyczyszczenie danych przeglądarki (pamięć podręczna i ciasteczka)
- Uważne obserwowanie kont bankowych i e-mailowych pod kątem nietypowej aktywności
- Przeprowadzenie pełnego skanowania systemu na obecność malware’u
Szerszy kontekst zagrożenia
Kampania RedDirection nie jest odosobnionym przypadkiem. W ostatnich miesiącach odnotowano kilka podobnych ataków na rozszerzenia przeglądarek. Rozszerzenia przeglądarek stały się jedną z najbardziej pomijanych powierzchni ataku w środowiskach korporacyjnych.
Wnioski dla bezpieczeństwa
Przypadek RedDirection ukazuje fundamentalne problemy w systemach weryfikacji rozszerzeń przez Google i Microsoft. Jak podkreśla Dardikman: „Procesy weryfikacji Google i Microsoft nie zdołały wykryć wyrafinowanego malware’u w wielu różnych rozszerzeniach, zamiast tego promowały kilka z nich poprzez odznaki weryfikacji i wyróżnione miejsca”.
Kampania ta pokazuje także, w jaki sposób cyberprzestępcy wykorzystują sygnały zaufania – takie jak wysokie oceny, pozytywne recenzje i odznaki weryfikacji – do rozpowszechniania malware’u pod przykrywką legalnych narzędzi produktywności.
